Çin bağlantılı şüpheli bir siber casusluk aktörünün, Doğu Asya’da bulunan isimsiz bir kuruluşa karşı yaklaşık üç yıllık bir süre boyunca yapılan uzun süreli bir saldırının arkasında olduğu atfedildi; düşman, eski F5 BIG-IP cihazlarını kullanarak ve bunu dahili bir cihaz olarak kullanarak kalıcılık sağladı. savunmadan kaçınma amacıyla komuta ve kontrol (C&C).
Saldırıya 2023’ün sonlarında yanıt veren siber güvenlik şirketi Sygnia, etkinliği şu adla takip ediyor: Kadife Karıncataktiklerini karşı iyileştirme çabalarına hızla uyarlamak ve uyarlamak için güçlü yeteneklere sahip olarak nitelendiriyor.
İsrailli şirket, The Hacker News ile paylaştığı teknik raporda “Velvet Ant, sofistike ve yenilikçi bir tehdit aktörüdür” dedi. “Müşteri ve finansal bilgilere odaklanarak uzun bir süre boyunca hassas bilgiler topladılar.”
Saldırı zincirleri, Çin çıkarlarıyla bağlantısı olan casusluk operatörleri tarafından yaygın olarak kullanılan, modüler bir uzaktan erişim truva atı (RAT) olan PlugX (aka Korplug) adı verilen bilinen bir arka kapının kullanımını içeriyor. PlugX’in cihazlara sızmak için DLL yandan yükleme adı verilen bir tekniğe büyük ölçüde güvendiği biliniyor.
Sygnia ayrıca, tehdit aktörünün PlugX’i kurmadan önce uç nokta güvenlik yazılımını yanal hareket için kullanılan Impacket gibi açık kaynaklı araçlarla devre dışı bırakma girişimlerini de tespit ettiğini söyledi.
Olaya müdahale ve iyileştirme çabalarının bir parçası olarak, C&C için dahili bir dosya sunucusu kullanan ve böylece kötü amaçlı trafiğin meşru ağ etkinliğine karışmasına izin veren, PlugX’in yeniden işlenmiş bir çeşidi de tespit edildi.
Şirket, “Bu, tehdit aktörünün ağ içerisinde PlugX’in iki versiyonunu konuşlandırdığı anlamına geliyordu” dedi. “Harici bir C&C sunucusuyla yapılandırılan ilk sürüm, doğrudan internet erişimi olan uç noktalara kuruldu ve bu da hassas bilgilerin sızmasını kolaylaştırdı. İkinci sürümde bir C&C yapılandırması yoktu ve yalnızca eski sunuculara dağıtıldı.”
Özellikle, ikinci varyantın, ters SSH tüneli üzerinden komutlar vererek harici C&C sunucusuyla iletişim kurmak için güncelliğini kaybetmiş F5 BIG-IP cihazlarını gizli bir kanal olarak kötüye kullandığı tespit edildi ve bir kez daha ödün veren uç cihazların nasıl izin verebileceğini vurguladı. Tehdit aktörlerinin uzun süre kalıcılık kazanmasını sağlar.
WithSecure yakın tarihli bir analizde, “Kitlesel bir istismar olayının meydana gelmesi için gereken tek şey, savunmasız bir uç hizmettir, yani internetten erişilebilen bir yazılım parçasıdır” dedi.
“Bunlar gibi cihazlar genellikle bir ağı daha güvenli hale getirmeyi amaçlar, ancak bu tür cihazlarda defalarca güvenlik açıkları keşfedildi ve saldırganlar tarafından istismar edilerek hedef ağda mükemmel bir dayanak sağlandı.”
Saldırıya uğramış F5 cihazlarının daha sonraki adli analizi, tehdit aktörünün C&C sunucusunu her 60 dakikada bir çalıştırılacak komutları aramak için yoklayan PMCD adlı bir aracın varlığını ve ayrıca ağ paketlerini yakalamak için ek programların ve EarthWorm olarak adlandırılan SOCKS tünelleme yardımcı programının varlığını ortaya çıkardı. Gelsemium ve Lucky Mouse gibi aktörlerin kullandığı bir yöntem.
Hedef ortamı ihlal etmek için kullanılan kesin ilk erişim vektörü (hedef odaklı kimlik avı veya internete açık sistemlerdeki bilinen güvenlik kusurlarından yararlanma) şu anda bilinmemektedir.
Gelişme, hassas bilgi toplamak amacıyla Asya’yı hedef aldığı gözlemlenen Solmayan Deniz Haze, Diplomatik Hayalet Operasyonu ve Kızıl Saray Operasyonu olarak takip edilen Çin bağlantılı yeni kümelerin ortaya çıkmasının ardından geldi.